Locky Ransomware halálos! Itt van mindaz, amit tudnod kell a vírusról.

Locky egy Ransomware név, amely későn alakult ki az állandó algoritmus frissítésének köszönhetően szerzői által. Locky, amint azt a neve is sugallja, átnevezi az összes fontos fájlt a fertőzött PC-n, amely kiterjesztést ad nekik..locky és felszólítást kér a titkosítási kulcsokra.

Locky ransomware - Evolution

Ransomware nőtt riasztó ütemben 2016-ban. Az e-mailt és a szociális mérnököt használja a számítógépes rendszerbe való belépéshez. A legtöbb rosszindulatú dokumentummal ellátott e-mail a Locky népszerű hírszerzési törzsével foglalkozott. A rosszindulatú dokumentumokhoz kapcsolódó üzenetek milliárdjainál 97% volt a Locky ransomware, ami riasztó 64% -os növekedést jelent a 2016-os első negyedévben, amikor először felfedezték.

A Locky ransomware 2016 februárjában, és azt állítólag félmillió felhasználónak küldték. Locky előtérbe került, amikor ez év februárjában a Hollywood Presbyterian Medical Center 17 000 dolláros Bitcoin váltságdíjat fizetett a betegadatok titkosítási kulcsért. Locky megfertõzte a Kórház adatait egy Microsoft Word számlára elrejtett e-mail mellékletként.

Február óta Locky láncolja a kiterjesztéseit egy ajánlatba, hogy becsapja az áldozatokat, hogy egy másik Ransomware fertőzött meg. Locky eredetileg a .locky átnevezte a titkosított fájlokat, és a nyár megérkezésekor a .zepto kiterjesztés, amelyet már több kampányban használtak.

Utoljára hallottam A Locky most titkosítja a .ODIN kiterjesztésű fájlokat, megpróbálja összekeverni a felhasználókat, hogy valóban az Odin ransomware.

Locky Ransomware

A Locky ransomware főként a támadók által működtetett levélszemét-spam kampányokon keresztül terjed. Ezek a spam e-mailek többnyire .doc fájlok, mint mellékletek amelyek kódolt szöveget tartalmaznak makróként.

A Locky ransomware disztribúcióban használt tipikus e-mail lehet olyan számla, amely a legtöbb felhasználó figyelmét felkapja.

Az e-mail tárgya - "ATTN: Számla P-12345678", fertőzött melléklet - " invoice_P-12345678.doc " (makrókat tartalmaz, amelyek a Locky ransomware-): "

és az e-mail szervezet -" Kedves valaki, kérjük, nézze meg a mellékelt számlát (Microsoft Word dokumentum), és küldje el a fizetést a számla alján felsorolt ​​feltételek szerint. Ha bármilyen kérdése van, tudassa velünk. Nagyra értékeljük vállalkozását! "

Miután a felhasználó engedélyezte a makró beállításokat a Word programban, egy futtatható fájl, amely valójában az iranómia, letöltődik a számítógépen. Ezután az áldozat PC-jén lévő különféle fájlokat titkosítja a ransomware, amely egyedi, 16 betűs számjegyű kombinációkat tartalmaz .shit , .thor , .locky.zepto vagy .odin fájlkiterjesztések. Minden fájl titkosítása a RSA-2048 és AES-1024 algoritmusok használatával történik, és a számítógépes bűnözők által ellenőrzött távoli kiszolgálókon tárolt titkos kulcsot kell megadni a titkosításhoz.

a titkosított fájlokat tartalmazó mappákban a Locky további .txt és _HELP_instructions.html fájlt hoz létre. Ez a szöveges fájl egy olyan üzenetet tartalmaz (amint az alábbiakban látható), amely tájékoztatja a felhasználókat a titkosításról.

Továbbá megállapítja, hogy a fájlok csak a számítógépes bűnözők által kifejlesztett dekrypterrel és a költségcsökkentéssel lehet visszafejteni.5 BitCoin. Ezért a fájlok visszaállításához az áldozattól fel kell kérni, hogy telepítse a Tor böngészőt, és kövesse a szöveges fájlokban / háttérképben található linket. A weboldal tartalmaz utasításokat a fizetés végrehajtására.

Nincs garancia arra, hogy még a fizetési áldozat fájljainak visszafejtése után is. De általában azért, hogy megvédje a hírnevét, a ransomware szerzői általában ragaszkodnak a részükhöz.

Locky Ransomware változás.wsf-ről.LNK kiterjesztésre

Küldje el az evolúciót ebben az évben februárban; A Locky ransomware fertőzések fokozatosan csökkentek a Nemucod kisebb észlelésekkel, melyeket a Locky számítógép fertőzésére használ. (Nemucod egy.wsf fájl, amely a.zip mellékletekben található a spam e-mailben). Ugyanakkor a Microsoft beszámolói szerint a Locky szerzői a .wsf fájloktól shortcut fájlok (.LNK kiterjesztéshez), amelyek PowerShell parancsokat tartalmaznak Locky letöltéséhez és futtatásához. Az alábbi levélszemét például azt mutatja, hogy a felhasználó azonnal felhívja a figyelmet. Nagyon fontos és véletlenszerű karakterekkel érkezik a tárgysorba. Az e-mail szövege üres.

A levélszemét e-mailje rendszerint Bill nevűként érkezik. Az.zip melléklet, amely tartalmazza a.LNK fájlokat. A.zip melléklet megnyitásakor a felhasználók kiváltják a fertőzés láncát. Ez a fenyegetés

TrojanDownloader: PowerShell / Ploprolo.A esetén észlelhető. Amikor a PowerShell szkript sikeresen fut, letölti és végrehajtja a Locky-t egy fertőzött láncot kitöltő ideiglenes mappában. A Locky Ransomware

által célzott fájltípusok Az alábbiakban láthatók a Locky ransomware által célzott fájlok.

.yuv,. ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q tehén,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,. accdb,.7zip,.xls,.wab, ​​.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.av,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,. PAQ,.tar.bz2,.tbk,.bak,. tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (biztonsági másolat),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.ke.

megelőzni a Locky Ransomware támadást

A Locky egy veszélyes vírus, amely súlyos veszélyt jelent a számítógépére. Javasoljuk, hogy tartsa be ezeket az utasításokat, hogy megakadályozza a felszabadító szoftvereket és elkerülje a fertőzöttség megszerzését.

Mindig legyen egy rosszindulatú szoftverekkel és antivírusellenes szoftverrel, amely védi és rendszeresen frissíti a számítógépet.

1. Frissítse a Windows operációs rendszert és a többi szoftvert naprakészen, hogy mérsékelje a lehetséges szoftverhiányokat.
2. Rendszeresen készítsen biztonsági másolatot a fontos fájlokról. Ez egy jó lehetőség arra, hogy mentse őket offline, mint a felhő tárolására, mivel a vírus is elérheti is
3. Letiltja a makrók betöltését az Office programokba. Egy fertőzött Word dokumentumfájl megnyitása kockázatosnak bizonyulhat!
4. Ne nyissa meg véletlenül az e-maileket a "Spam" vagy "Junk" e-mail szakaszokban. Ez trükköt tehet egy rosszindulatú programot tartalmazó e-mail megnyitásakor. Gondolja, mielőtt weboldalakra vagy e-mailekre mutató webes hivatkozásokra kattintott, vagy elküldte az e-mail mellékleteket olyan feladóktól, amelyeket nem tud.
5. Files with.LNK kiterjesztés
1. Files with.wsf kiterjesztés
2. Dupla kiterjesztésű fájlok (például profil-p29d … wsf)
3. Read

: Mi a teendő a Ransomware támadása után a Windows számítógépen? Hogyan lehet visszafejteni a Locky Ransomware

Mostantól nincsenek dekódolók a Locky ransomware számára. Az Emsisoft Decryptorja azonban használhatja a

AutoLocky titkosítással ellátott fájlok dekódolására, amely egy újabb ransomware, amely fájlokat is átnevez a.locky kiterjesztéshez. Az AutoLocky az AutoI parancsfájl nyelvét használja, és megpróbálja utánozni az összetett és kifinomult Locky ransomware-t. A rendelkezésre álló ransomware decryptor eszközök teljes listáját megtekintheti itt. Források és hitelek

: Microsoft | BleepingComputer | PCRisk.